zver - наш воображаемый пользователь-зверь.
1. Какой пользователь в какое время заходил?
-
last - история входов.
-
last zver - история входов зверя.
-
lastb zver - история неудачных входов зверя.
-
last zver | grep "Jan 21" - история входов зверя за 21 января сего года.
-
last -s -7days zver - история входов зверя за последние 7 дней.
-
last -s 2025-01-15 -t 2025-01-21 zver - история входов зверя за 15-21 января 2025 года.
2. Действия того или иного пользователя?
-
cat /home/zver/.bash_history - история команд зверя.
-
who -u - показывает активных пользователей (терминалы и время входа).
-
ps -u zver - показывает список активных процессов зверя.
-
sudo iotop -u zver - мониторинг ввода вывода пользователя зверя (в режиме реального времени).
-
sudo iftop -f "src user zver" - показывает сетевой трафик зверя.
-
sudo tail -f /var/log/syslog | grep zver - просмотр действий зверя в реальном времени.
-
sudo journalctl -f | grep zver - отслеживание действий зверя в реальном времени (если используется systemd).
-
sudo lsof -u zver - какие файлы открыты у зверя.
-
find /home/zver -type f -mmin -60 - какие файлы изменил зверь за последний час.
-
stat /home/zver/nomera-devchonok.txt - показывает подробности что делал зверь с
файлом стратегического назначения.
3. Если пользователь пользовался sudo -i, sudo -s, sudo su, как посмотреть, что он делал под этими оболочками?
-
sudo grep zver /var/log/auth.log - история команд (втч. под sudo) зверя.
-
sudo zgrep zver /var/log/auth.log* - просмотр истории команд зверя из текущих и архивных логгов.
-
sudo aureport -x --summary - показывает сводку команд (втч. под sudo).
Расширенный мониторинг зверей -
auditd и
еще.
